403 Tricks

Re(7): 403 Tricks

Lazy Jones — Wed, 01 Mar 2023 12:20:07 GMT

Wenn mans schafft einen Client zu manipulieren hat man automatisch auch gleich
Zugang.

Natürlich hat jeder Zugang, der die IP-Adresse nutzen kann. Die muss man schon auch entsprechend absichern.

Re(6): 403 Tricks

hellbringer — Wed, 01 Mar 2023 12:16:17 GMT

Kommt drauf an welche Client-IPs da freigegeben wurden. Wenn mans schafft einen Client zu manipulieren hat man automatisch auch gleich Zugang.

Wie eben in dem Beispiel, wo irgendwelche HTTP-Header dafür missbraucht werden. Das funktioniert auch nur, weil erstens die Header-Manipulation Erfolg hat UND die Anwendung nur anhand der Client-IP autorisiert. Wäre nur eine der beiden Lücken vorhanden, würde so ein Angriff ins Leere verlaufen.

Re(5): 403 Tricks

Lazy Jones — Wed, 01 Mar 2023 12:06:49 GMT

Ungschickt Das bietet dann ja gleich mehrere mögliche Angriffsvektoren.

Z.B.? IP spoofing bei HTTP?

Re(4): 403 Tricks

hellbringer — Wed, 01 Mar 2023 11:59:57 GMT

Jemand mit einer Konfiguration, die per default alle header durchlässt und
vergessen hat, die intern verwendeten explizit bei jedem Request zu löschen.

Auf mich wirkt das wie Failing by Design. Man muss ja aufpassen die notwendigen Header zu löschen ist fast eine Garantie dafür, dass irgendwer mal darauf vergisst.

Die Anwendung kann auch die IP-Adresse des client prüfen und auf Autorisierung pfeifen. Wie z.B. das GH-Forum früher mal für admin-Zugang.

Ungschickt Das bietet dann ja gleich mehrere mögliche Angriffsvektoren.

Re(3): 403 Tricks

Lazy Jones — Wed, 01 Mar 2023 11:55:57 GMT

Wer macht sowas und warum?

Jemand mit einer Konfiguration, die per default alle header durchlässt und vergessen hat, die intern verwendeten explizit bei jedem Request zu löschen.

Außer die Anwendung dahinter prüft nur rein die URL im Header und pfeift auf
eine echte Autorisierung. Aber dann nochmal die Frage: Wer macht sowas und
warum?

Die Anwendung kann auch die IP-Adresse des client prüfen und auf Autorisierung pfeifen. Wie z.B. das GH-Forum früher mal für admin-Zugang.

Re(2): 403 Tricks

hellbringer — Wed, 01 Mar 2023 11:44:31 GMT

Da geht's darum, einen X- header mitzuschicken, der eigentlich intern
verwendet wird um die Requests an verschiedene Hosts oder HTTP-Server zu
verteilen.

1. HTTP-Header, die von außen reinkommen, für interne Weiterleitungen zu verwenden, klingt aber ziemlich... gewagt. Wer macht sowas und warum?

2. Sollte das aber genau nichts mit der Autorisierung zu tun haben und an einem 403 nichts ändern. Außer die Anwendung dahinter prüft nur rein die URL im Header und pfeift auf eine echte Autorisierung. Aber dann nochmal die Frage: Wer macht sowas und warum?

Re(2): 403 Tricks

berni2k — Wed, 01 Mar 2023 11:27:41 GMT

Supa, danke!

Re: 403 Tricks

Lazy Jones — Wed, 01 Mar 2023 11:19:57 GMT

Bei Punkt 6, fehlt da die Beschreibung wies geht, oder ist der Austausch des
Host der Trick?

Da geht's darum, einen X- header mitzuschicken, der eigentlich intern verwendet wird um die Requests an verschiedene Hosts oder HTTP-Server zu verteilen.

Re(7): 403 Tricks

Ursteirer — Tue, 28 Feb 2023 08:50:40 GMT

weil ichs seinerzeit lustig fand.

Du bist auch leicht zu unterhalten!

Re(3): 403 Tricks

zeddicus — Tue, 28 Feb 2023 07:46:41 GMT

Änliche tricks gehen auch bei oauth anmeldungen
Bei Der mail sonderzeichen vor oder nachstellen

Da müsste der Owner des OAuth Servers aber schon hart verkacken um das zu ermöglichen.

Du hast dir die verschiedenen flows schon mal angeschaut?

Re(6): 403 Tricks

someonelikeme — Mon, 27 Feb 2023 21:56:27 GMT

Technisch gesehen rein gar nichts. Aus Benutzersicht aber trotzdem eine ganze Menge. Wollts nur angemerkt haben, weil ichs seinerzeit lustig fand.

Re(5): 403 Tricks

hellbringer — Mon, 27 Feb 2023 21:50:42 GMT

Bei der NY Times konnte man früher die Paywall umgehen, indem man einfach auf
nytimes.com./ statt nytimes.com/ ging. Das mit dem Punkt wurde inzwischen
"gefixt" (indem sie einen Redirect machen). Aber ansonsten liefern sie immer
noch erst den kompletten Artikel bevor sie die Paywall drüberklatschen...

Das hat jetzt was mit einem 403 zu tun?

Re: 403 Tricks

pong — Mon, 27 Feb 2023 21:39:41 GMT

h4xX0R

Re(4): 403 Tricks

someonelikeme — Mon, 27 Feb 2023 21:31:42 GMT

Bei der NY Times konnte man früher die Paywall umgehen, indem man einfach auf nytimes.com./ statt nytimes.com/ ging. Das mit dem Punkt wurde inzwischen "gefixt" (indem sie einen Redirect machen). Aber ansonsten liefern sie immer noch erst den kompletten Artikel bevor sie die Paywall drüberklatschen...

Re(2): 403 Tricks

*patrick star* — Mon, 27 Feb 2023 20:48:44 GMT

naja, bei verschiedensten webservern in den unterschiedlichsten versionen gibt es immer wieder einen *PIEP* up. vor allem mit den verschiedensten X- headern hab ich schon einiges gesehen, wo die dann in die response seite eingebaut werden. auch mit caching, in seiten von anderen usern, das wird vermutlich hier mit punkt 6 auf irgend eine art und weise gemeint sein.
das manuell zu testen macht man nicht, da gibts viel zu viel moeglichkeiten. wenn man scanner fuer etwas brauchen kann, dann fuer so ein zeugs.

Re(3): 403 Tricks

hellbringer — Mon, 27 Feb 2023 18:17:51 GMT

Also das da gar nix geht stimmt nicht, gab auch bsp wo was funktioniert hat

Änliche tricks gehen auch bei oauth anmeldungen

Bei Der mail sonderzeichen vor oder nachstellen, etc

Geht das auch etwas konkreter? Und nicht nur ein konstruiertes Pseudo-Beispiel, das gezielt so gebaut wurde, damit das funktioniert?

Re(2): 403 Tricks

berni2k — Mon, 27 Feb 2023 18:14:57 GMT

Also das da gar nix geht stimmt nicht, gab auch bsp wo was funktioniert hat

Änliche tricks gehen auch bei oauth anmeldungen
Bei Der mail sonderzeichen vor oder nachstellen, etc

Re: 403 Tricks

hellbringer — Mon, 27 Feb 2023 18:09:48 GMT

Was soll das sein? Das 1 mal 1 für das Möchtegern-Script-Kiddie?

Meiner Ansicht nach "geht" gar nichts von diesen ulkigen Versuchen, weil Webanwendungen einfach ganz anders funktionieren, als sich der Schreiberling von dem Quatsch vorstellt.

403 Tricks

berni2k — Mon, 27 Feb 2023 15:29:35 GMT

Bei Punkt 6, fehlt da die Beschreibung wies geht, oder ist der Austausch des Host der Trick?

Thx